Nach Susefirewall2 Installation Fehler im Messages (Bind9)

[kurvenjaeger]

Hallo

Habe auf meinem Server o.g. Firewall mit Yast installiert und dann weiter nach dem Suse Handb. konfiguriert. Nachdem der Mailversand über Postfix wieder läuft (Port 465 ) hab ich einen merkwürdigen Eintrag im Messages log:

• SuSE-FW-DROP-ICMP-CRIT IN=eth0 OUT= MAC=00:40:63:c4:26:73:00:60:08:f6:f5:9d:08:00 SRC=217.160.178.253 DST=217.160.178.227
  LEN=100 TOS=0x10 PREC=0xC0 TTL=64 ID=57775 PROTO=ICMP TYPE=5 CODE=1 GATEWAY=217.160.178.251 [SRC=217.160.178.227 DST=217.160.178.251 LEN=72 TOS=0x10
  PREC=0x00 TTL=64 ID=61949 DF PROTO=UDP SPT=1034 DPT=53 LEN=52

Ich hab mal die Konfig der Firewall beigepackt:

Code: Select all

FW_QUICKMODE="no"
FW_DEV_EXT="eth0"
FW_DEV_INT=""
FW_DEV_DMZ=""
FW_ROUTE="no"
FW_MASQUERADE="no"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS=""
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP="16523 123 443 465 53 http https pop3 pop3s smtp ssh"
FW_SERVICES_EXT_UDP="domain"
FW_SERVICES_EXT_IP=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_QUICK_TCP=""
FW_SERVICES_QUICK_UDP=""
FW_SERVICES_QUICK_IP=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP="DNS"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
FW_SERVICE_AUTODETECT="yes"
FW_SERVICE_DNS="yes"
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SQUID="no"
FW_SERVICE_SAMBA="no"
FW_FORWARD=""
FW_FORWARD_MASQ=""
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW"
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="NO"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
#                                                                         #
#-------------------------------------------------------------------------#
#                                                                         #
# EXPERT OPTIONS - all others please don't change these!                  #
#                                                                         #
Rest wie es im Standard ist

Bedeutet das, dass Nameserveranfragen von der FW gedropt werden? Wenn ja was muss ich denn bei der Konfig der FW noch beachten?

Gruss Dirk

[dodolin]

Habe auf meinem Server o.g. Firewall mit Yast installiert ...

... und ein weiteres Beispiel geliefert, das zeigt, dass man damit nicht herumspielen sollte, wenn man nicht wirklich *genau* versteht, was man da tut.

SuSE-FW-DROP-ICMP-CRIT IN=eth0 OUT= MAC=00:40:63:c4:26:73:00:60:08:f6:f5:9d:08:00 SRC=217.160.178.253 DST=217.160.178.227
LEN=100 TOS=0x10 PREC=0xC0 TTL=64 ID=57775 PROTO=ICMP TYPE=5 CODE=1 GATEWAY=217.160.178.251 [SRC=217.160.178.227 DST=217.160.178.251 LEN=72 TOS=0x10
PREC=0x00 TTL=64 ID=61949 DF PROTO=UDP SPT=1034 DPT=53 LEN=52


Bedeutet das, dass Nameserveranfragen von der FW gedropt werden?

Nicht direkt.

Das bedeutet, dass dein Rechner (217.160.178.227) eine DNS Anfrage an 217.160.178.251 direkt zustellen wollte und von seinem Default-Gateway (217.160.178.253) gesagt bekommen hat (per ICMP Redirect), dass das nicht direkt, sondern gefälligst über den Gateway zu geschehen hat, damit Schlund auch den Traffic korrekt abrechnen kann.

Vermutlich stimmt was mit deiner Netzmaske oder deiner Routingtabelle nicht. Würde deine FW nicht so sinnlos eingreifen, könnte ICMP das automatisch für dich korrigieren...

BTW: Fürs Protokoll:
[dominik@sklave dominik]$ host 217.160.178.253
253.178.160.217.in-addr.arpa domain name pointer gw-prtr-40-a.schlund.net.
[dominik@sklave dominik]$ host 217.160.178.251
251.178.160.217.in-addr.arpa domain name pointer strohhalm40.schlund.net.

a) .253 ist wohl dein Gateway
b) Aber warum willst du den strohalm per DNS fragen?

Wenn ja was muss ich denn bei der Konfig der FW noch beachten?

Sorry, aber von SuSE-FW habe ich keine Ahnung und IMHO dauert es wesentlich länger, sich in deren kryptische Skripten einzuarbeiten (bis man es *komplett* verstanden hat, was man tut!), als sich direkt mit iptables zu beschäftigen.

Klar ist jedenfalls:
Hättest du eine

iptables -A INPUT -m match --state ESTABLISHED,RELATED -j ACCEPT

(oder so ähnlich, habe die Syntax nicht im Kopf), dann hättest du keine Probleme damit.

Wenn man stateless filtern möchte, dann sollte man ICMP Redirects lediglich von seinen Gateways akzeptieren.

[kurvenjaeger]

JaJa mit so einer Firewall ist das schon so eine Sache: Wirklich nichts für einen Newbee. Dabei ist der grundgedanke doch einfach- Mach alle ports dicht bis auf die, die ich brauche. Die Turtle Firewall macht dass selbst für "Dummies" recht easy. Und daher jetzt meine Frage an alle Profis:

Was bedeuten im Log diese Einträge (port 445 und Port 137) Wer schnüffelt da am Server rum?

• Apr 23 10:19:12 lan-FIREWALL eth0 00:40:63:c4:26:73:00:60:08:f6:f5:9d:08:00 219.160.41.175 217.160.178.227 UDP 61316 137
  Apr 23 10:55:28 lan-FIREWALL eth0 00:40:63:c4:26:73:00:60:08:f6:f5:9d:08:00 62.57.50.193 217.160.178.227 TCP 51426 445

Gruss Dirk

[dodolin]

Wer schnüffelt da am Server rum?

219.160.41.175 und 62.57.50.193.

Sind wohl Windowsbüchsen, die es nicht gepeilt kriegen und mit SMB rummachen...